Группы безопасности

Группы безопасности — это набор правил контроля доступа, которые определяют, какой сетевой трафик разрешён к инстансам и от них. Они работают как виртуальный брандмауэр, ограничивая соединения на основе IP-адресов, портов и протоколов.

Группы безопасности применяются к сетевым интерфейсам инстансов. Вы можете задать правила:

  • для входящего трафика (например, разрешить подключение по SSH или HTTP),

  • для исходящего трафика (например, ограничить доступ в интернет).

Это позволяет:

  • защитить инстансы от несанкционированного доступа;

  • гибко настраивать доступ к приложениям;

  • централизованно управлять политиками безопасности для разных инстансов.

Группы безопасности можно создавать, редактировать и применять повторно для разных инстансов, что упрощает администрирование.

../../../_images/security_group.png

Доступны следующие действия: создание и удаление групп безопасности.

Группа безопасности является описанием правил программно-определяемого межсетевого экрана. Каждое правило в группе безопасности разрешает или запрещает* доступ к определённым портам сетевого порта инстанса.

Примечание

запрещающие правила доступны только при использовании Amano в качестве сетевого драйвера.

Создание группы безопасности

Для создания группы безопасности перейдите в Сеть > Группы безопасности

../../../_images/security_group.png

  1. Нажмите кнопку Создать группу безопасности

  2. В открывшемся окне введите необходимые данные

../../../_images/security_group_creation.png

  • Имя - укажите имя. Имя должно начинаться с заглавной буквы или строчной буквы и состоять из 1 до 128 символов, вы можете использовать только «0-9, a-z, A-Z, «-„_()[].»

  • Описание - введите описание группы

  1. Нажмите кнопку «Ок». Новая группа безопасности появится в списке на странице Группы безопасности

Примечание

Будет создана группа безопасности с правилами по умолчанию для IPv4 и IPv6.

Создание правила безопасности

Правило безопасности — это правило, которое задает условия для входящего или исходящего сетевого трафика, разрешая или блокируя его на основе определённых критериев, таких как IP-адрес, порт и протокол.

Для создания правила в группе безопасности перейдите в Сеть > Группы безопасности

../../../_images/security_group_rule.png

  1. Наведите курсор на троеточие в отображении группы безопасности

  2. В открывшемся списке наведите курсор на Создать правило, как показано на рисунке и нажмите

  3. В открывшемся диалоговом окне введите необходимые параметры:

../../../_images/security_group_rule_1.png

  • Протокол - Определяет тип сетевого протокола, к которому применяется правило. Например: TCP — для соединений с установлением сессии (например, HTTP, SSH); UDP — для безсессионных протоколов (например, DNS, VoIP); ICMP — для служебных сетевых сообщений (ping и др.); Пользовательский — позволяет указать произвольный протокол.

Зачем нужен: позволяет фильтровать трафик в зависимости от типа сетевого взаимодействия.

  • Направление - Определяет направление трафика, к которому применяется правило. Например: Входящий (Ingress) — трафик, приходящий в инстанс; Исходящий (Egress) — трафик, исходящий из инстанса.

Зачем нужен: Позволяет отдельно контролировать доступ к ресурсу и исходящие подключения.

  • Тип Ethernet - Определяет версию IP-протокола. Например: IPv4 или IPv6

Зачем нужен: Позволяет задать правило отдельно для IPv4 и IPv6 трафика.

  • Тип порта - Определяет способ указания портов. Например: все порты (HTTP, SSH); Пользовательский — ручной ввод порта или диапазона.

Зачем нужен: Упрощает настройку типовых сервисов или позволяет задать произвольные значения.

  • Исходный порт/ диапазон портов - Указывает порт отправителя (source port) или диапазон портов. Формат:

Один порт: 80 Диапазон: 80:160

Зачем нужен: Используется для более точной фильтрации трафика, чаще всего в специфичных сценариях (например, peer-to-peer или ответный трафик).

  • Удаленный тип - Определяет, как задаётся источник или получатель трафика. Например: CIDR — указание подсети; Группа безопасности — ссылка на другую группу безопасности.

Зачем нужен: Позволяет задать, откуда (или куда) разрешён/запрещён трафик.

  • Префикс удаленного IP - Указывает адрес или диапазон адресов в формате CIDR. Примеры:

    • 192.168.0.0/24

    • 0.0.0.0/0 — доступ отовсюду

    • 2001:db8::/48

Зачем нужен: Определяет источник (или получателя) трафика, к которому применяется правило.

  • Тип правила - Определяет, разрешён или запрещён трафик. Например:

  • Разрешающее (Allow)

  • Запрещающее (Deny)

  • Сервисная цепочка - определяет, применяется ли правило в рамках цепочки сервисов (Service Function Chaining, SFC). Позволяет направлять трафик через последовательность сетевых сервисов, например:

firewall → IDS/IPS → балансировщик → целевой инстанс

При использовании сервисной цепочки правило применяется не напрямую к инстансу, а к трафику, проходящему через заданную цепочку обработки. Применяются в более сложных сценариях:

  • сетевые функции (NFV);

  • DPI / IDS / IPS;

  • централизованная фильтрация и инспекция трафика;

  • многоступенчатая обработка сетевых пакетов.

Зачем нужны типы правил: Определяет поведение правила — пропускать или блокировать трафик.

  1. Подтвердите создание. Система запустит создание правила безопасности. Через несколько секунд правило безопасности будет создано. Параметры правила можно просмотреть, нажав кнопку Правила безопасности в выбранной группе безопасности.

../../../_images/security_group_rule_2.png

Параметры правила безопасности

../../../_images/security_group_rule_3.png